摘 要：伴隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，網(wǎng)站已成為各企事業(yè)單位的一個重要窗口。Web服務器作為網(wǎng)站最主要的載體，其能否正常穩(wěn)定的運行，將直接關系到用戶的經(jīng)濟效益、工作效率和品牌形象。如何預防Web服務器故障的發(fā)生和學會怎樣排查、處理Web服務器故障是當前亟需解決的一個課題。本文將對Web服務器故障進行分類、判斷和排除方法進行探討，為高效解決Web服務器故障現(xiàn)象提供一套行之有效的排查和解決方案。

關鍵詞：Web服務器；SQL注入漏洞；ASP木馬；故障排查

中圖分類號：TP309

要掌握Web服務器的故障診斷，我們首先需要非常熟悉Web服務器的構架模式。對Web應用的運行環(huán)境、Web服務器上運行的服務器軟件和啟用的服務也要有較全面的認識。對Web服務器的充分了解，將非常有助于我們對Web服務器故障類型的準確判斷，進而以各種診斷工具為手段，快速的找到故障點，分析故障原因，徹底排除故障，恢復Web服務器的正常運行。本文以當前普遍使用的Web服務器配置環(huán)境：Windows Server 2003+IIS6.0+ACCESS2003+ASP3.0為依據(jù)，對WEB服務器故障的排除展開分析和討論。

1 WEB服務器故障的排除

1.1 WEB服務器故障診斷的一般步驟

對于WEB服務器故障的診斷，我們一般按下述六個步驟進行：

步驟一：根據(jù)觀察故障現(xiàn)象，判斷故障所屬類型。從故障的具體表現(xiàn)，判斷出發(fā)生故障的可能對象：主機設備、操作系統(tǒng)、Web服務和Web站點等。例如，開機無顯示，在大的方向上可確定為主機故障，而且是主機硬件設備故障。

步驟二：確定故障類型，具體分析可能產(chǎn)生故障的原因。比如，Web站點訪問失敗，如果確定故障類型是Web服務故障，排除了主機故障和Web站點故障，那么引發(fā)此類故障的可能原因就是IIS的配置問題、SQL Server的配置問題或DNS的配置問題等。

步驟三：收集與故障相關聯(lián)的有用信息。通過系統(tǒng)的事件查看器、網(wǎng)站日志文件、相關診斷命令（ICMP的ping、tracert命令）或故障診斷工具的診斷信息和日常維護管理記錄等方面收集對故障診斷有用的信息。

步驟四：具體分析收集到的相關信息，通過比較、排查并確定引發(fā)故障的最可能原因。比如，對于WEB服務的故障，如果根據(jù)分析相關診斷信息后可以排除是數(shù)據(jù)庫或DNS引發(fā)的問題，就必須把重點放在檢查IIS的配置上。

步驟五：針對最可能引發(fā)故障的原因，建立科學的診斷計劃。從故障現(xiàn)象入手，以診斷計劃為手段，理清診斷計劃的具體要求、技術措施和診斷的方法途徑等，找出引發(fā)故障的真正原因。

步驟六：實施診斷計劃，排除故障。在實施計劃時要認真做好每一步測試，記錄每一個參數(shù)變化，觀察每一次測試結果。再通過具體分析每一步的測試結果，確定問題是否解決，如果沒有解決，繼續(xù)測試，直到故障現(xiàn)象消失。

1.2 故障排除案例分析

2009年12月18日學校網(wǎng)站某頁面信息被惡意篡改，而其它頁面及網(wǎng)站功能一切正常。WEB服務器的配置環(huán)境：Windows Server 2003 Enterprise+IIS6.0 +Access+ASP。

故障現(xiàn)象：網(wǎng)站上某領導的簡介頁面信息被篡改，其中領導頭像也被調(diào)換。

故障分析與處理：

（1）根據(jù)具體故障現(xiàn)象，初步判斷是Web站點故障，網(wǎng)站受到了網(wǎng)絡攻擊。

（2）懷疑系統(tǒng)沒及時更新，黑客通過系統(tǒng)漏洞入侵。于是登錄WEB服務器，通過掃描工具檢測WEB服務器有沒有存在未修復的漏洞。檢查后沒有發(fā)現(xiàn)什么問題，系統(tǒng)為最新版本，也沒有發(fā)現(xiàn)有需要更新的系統(tǒng)或軟件漏洞，于是繼續(xù)查找故障原因。

（3）懷疑黑客利用網(wǎng)頁上傳后門向服務器上傳ASP腳本木馬。于是仔細排查網(wǎng)頁上傳后門漏洞。

1）首先檢查學校網(wǎng)站后臺的附件上傳功能頁面，可是后臺管理頁面中，只有eWebEditor編輯器有文件上傳功能，會不會是eWebEditor的上傳組件存在漏洞？查看“Upload.asp”和“Admin_UploadFile.asp”，果然，這兩個上傳文件頁面都沒有作任何限制。

2）eWebEditor編輯器的上傳后門即然可能被非法調(diào)用，那么服務器的上傳目錄上就很可能被黑客上傳了木馬。于是檢查網(wǎng)站的“uploadfile”目錄，果然發(fā)現(xiàn)了三個常見的ASP木馬文件：DIY.ASP、ROOT.ASP和SAM.ASP。黑客很可能是利用ASP木馬生成器來生成ASP木馬文件，然后利用“桂林老兵”或“明小子旁注工具”等木馬上傳工具將ASP木馬上傳上來的。

3）忽然想到在建站時已經(jīng)對IIS目錄權限做過優(yōu)化，檢查核實文件上傳目錄的IIS權限的確只有讀取權限，同時執(zhí)行權限設為“無”，這樣即使網(wǎng)站上傳目錄被上傳了ASP、exe等木馬，也是無法執(zhí)行的。而且，為了防止基于各種常用ASP組件的木馬攻擊，當時還對Wscript.Shell、Shell.Application和FileSystemObject等常用組件通過修改注冊表，將此類組件改名，來防止ASP木馬的危害。這是否說明黑客雖然將ASP木馬傳上了服務器，但是卻無法使用，并未對網(wǎng)站和系統(tǒng)造成什么危害，也不是這次故障的主要原因。

4）為了證實自己的判斷，首先對服務器系統(tǒng)進行了全面的檢查，系統(tǒng)管理帳戶沒有被增加、修改和提權的痕跡；再仔細檢查系統(tǒng)的事件查看器，也沒有發(fā)現(xiàn)非常登錄的記錄；最后，利用“淘特ASP木馬掃描器”對全站進行掃描，檢查除文件上傳目錄之外，攻擊者有沒有在網(wǎng)站服務器的其它目錄下留下后門，掃描結果如下圖1所示，沒有發(fā)現(xiàn)新的ASP木馬。

圖1 ASP木馬掃描結果

通過上述的排查和分析，說明故障原因也并非是網(wǎng)頁上傳后門被非法利用所致，于是繼續(xù)查找故障原因。

（4）懷疑是網(wǎng)站的其它漏洞導致這次的黑客入侵，于是開始檢查數(shù)據(jù)庫記錄和WEB日志記錄。確認網(wǎng)頁是什么時候被篡改的，是哪個帳戶執(zhí)行的？帶著疑問開始仔細查找網(wǎng)站的其它漏洞。

1）打開WEB數(shù)據(jù)庫，找到被篡改的的記錄，如下圖2，修改者和審核者都是原合法管理員“admin”，修改時間也被攻擊者改成原時間。這說明黑客是通過網(wǎng)站漏洞成功破解了網(wǎng)站的管理員帳號和密碼，并利用該帳號對網(wǎng)頁內(nèi)容進行篡改的。

圖2 檢查數(shù)據(jù)庫

2）網(wǎng)頁是什么時候被篡改的呢？帶著疑問突然想到被篡改的網(wǎng)頁中領導的頭像也被調(diào)換了，而eWebEditor編輯器在上傳文件時，會在原文件名的前面加上當前的系統(tǒng)日期和時間作為上傳后的文件名。于是立即找到新的頭像圖片，查看文件名是：“20091218985420073384221536.jpg”，說明網(wǎng)頁是在2009年12月18日被篡改的。

3）仔細查看2009年12月18日的WEB日志文件，突然看到如下圖3所示的日志記錄：

圖3 WEB日志文件

說明黑客利用注入漏洞掃描器在學校網(wǎng)站中尋找SQL注入漏洞。再往下看發(fā)現(xiàn)黑客找到有SQL注入漏洞的鏈接，并開始利用注入工具進行數(shù)據(jù)表名的猜解，如下圖4所示：

圖4 WEB日志文件

再往下看，注入工具依次破解了數(shù)據(jù)表的字段名、帳號和密碼。如下圖5為成功猜解數(shù)據(jù)表“users”中含有列名為“name”的字段；圖6則表示成功猜解出數(shù)據(jù)表“users”中第一個帳戶的首字母為ASCII碼值為97所對應的字符，即小寫字母“a”。

圖5 WEB日志文件

圖6 WEB日志文件

回放黑客的整個攻擊過程，從黑客發(fā)現(xiàn)SQL注入漏洞鏈接開始，僅僅用了5分鐘左右的時間就拿到了整個網(wǎng)站的所有帳戶信息。這足見SQL注入漏洞的嚴重后果以及注入工具的功能強大。為了證實SQL注入漏洞就是本次的故障原因。我自己又在本機做了一下測試，我用“穿山甲注入工具”對學校站點進行了一次注入測試，測試結果如下圖7所示。事實再一次驗證了這一次網(wǎng)絡攻擊的故障原因是：學校網(wǎng)站存在SQL注入漏洞。

圖7 穿山甲注入工具

（5）修補SQL注入漏洞，清除ASP木馬，還原網(wǎng)頁信息，排除故障。修補網(wǎng)站的SQL注入漏洞其實很簡單：可以通過調(diào)用字符過濾函數(shù)，對所有用戶的輸入進行了判定和過濾，比如對newsid的值過濾，只需將字符串：newsid=request（\"newsid\"）改成：newsid=checkstr（request（\"newsid\"））即可。也可以通過使用UrlScan過濾非法URL的訪問。

2 結束語

網(wǎng)站在各行各業(yè)中的應用越來普及，在各行各業(yè)中所發(fā)揮的作用也越來越重要，如何保障我們的WEB服務長期、穩(wěn)定、安全、快速的運行是每一位網(wǎng)站管理員所要面對的重要課題。

對于服務公眾的WEB服務器，發(fā)生故障在所難免，作為網(wǎng)站管理員，我們隨時都有可能遇到各種各樣的網(wǎng)絡故障。學會快速排除常見故障，熟悉故障診斷流程，是我們必須要掌握的技能。同時，我們更應該要注意充分利用現(xiàn)有資源，采取各種有效措施消除各種故障隱患，減少故障發(fā)生的機會，更要避免各種嚴重問題的出現(xiàn)。一定要重視在Web服務器故障發(fā)生之前能夠做好充分的服務器安全措施；在Web服務器發(fā)生故障之后也能迅速拿出一套行之有效的診斷計劃，快速找出問題之所在并給予解決。

參考文獻：

[1]Allan Liska.網(wǎng)絡安全實踐[M].北京：機械工業(yè)出版社，2004.

[2]周峰，徐曉軍，李德路.ASP開發(fā)技術原理與實踐教程[M].北京：電子工業(yè)出版社，2007.

[3]劉宗田，劉瑩.Web站點安全與防火墻技術[M].北京：機械工業(yè)出版社，1998.

[4]周亞建，鄭康鋒，楊義先.網(wǎng)絡安全加固技術[M].北京：電子工業(yè)出版社，2007.

作者簡介：陳偉杰（1975.08-），男，廣東惠州人，學士學位，教務科主任，計算機講師，研究方向：計算機網(wǎng)絡應用。

作者單位：惠州市技師學院，廣東惠州 516000